On 06/11/2010 06:53 PM, Manfredi wrote: > On 11/06/2010 15:49, Dario Fiumicello wrote: >> Trusted??? E dove sta scritto? Implicitamente??? > > Ciao, > se ti viene chiesto di inserire un mail address per il recovery della > password, > presumo che l'indirizzo mail che si inserisca sia considerato "buono" > dall'utente. Che poi non sia sicuro o che non sia la soluzione ottimale posso > essere concorde, ma sicuramente risolve i problemi ed abbassa i costi di > gestione del servizio. > >> Comunque anche se fosse dichiarato non mi sembra affatto una procedura >> corretta, secondo me andrebbe fatto solo il reset della password, mai >> fatta viaggiare la password attuale in chiaro su una casella non PEC. >> Questo a mio parere invalida tutta la sicurezza della PEC. > > Concordo con te sulla sicurezza. Non pensavo di scatenare questo thread... > > Non ho mai scritto che fosse giusto come comportamento, ma che nella visione > del > gestore questo non รจ un bug (almeno spero che sia una cosa voluta per > abbassare > i costi). > > Come ha scritto bene Maddler, questo tipo di comportamento/compromesso, se mi > passate il termine, permette, infatti, al gestore, in questo caso Aruba, di > abbassare i costi di gestione a scapito della sicurezza.
Rendendo tutto il servizio appena poco piu` che inutile. Scopo sostanziale della PEC e` *garantire* invio e contenuto delle comunicazioni inviate tramite essa. Se manca la sicurezza anche in uno solo anello della catena, tanto vale usare la posta elettronica tradizionale. > > Buona serata, > Manfredi > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
